Mit dem gestern vorgestellten Entwurf des Digital Networks Acts (DNA) will es die EU-Kommission, wenn schon nicht allen, dann doch vielen recht machen. Weder schafft sie pauschal die Netzneutralität ab, noch die strenge Vorab-Regulierung marktmächtiger Unternehmen, noch wird sie EU-Länder dazu zwingen, vorschnell alternde Kupferleitungen abzuschalten.

Ziel des lange erwarteten Gesetzentwurfs ist ein großflächiger Umbau der EU-Regulierung im Telekommunikationsbereich. Davon erwartet sich die EU-Kommission mehr Investitionen der Netzbetreiber in Infrastruktur. Flächendeckend verfügbare, moderne Internetanschlüsse sollen „die Grundlage für Europas Wettbewerbsfähigkeit“ bilden sowie „innovative Technologien wie Künstliche Intelligenz und Cloud Computing“ ermöglichen, so die Kommission.

In der geplanten Verordnung sollen gleich mehrere EU-Gesetze aufgehen. Allen voran der European Electronic Communications Code (EECC); die Regeln zur Netzneutralität; die Verordnung über das Gremium der europäischen Regulierungsbehörden (GEREK) sowie das Radio Spectrum Policy Programme (RSPP), mit dem künftig die Nutzung von Funkfrequenzen EU-weit geregelt werden soll. Begleitend zum rund 260 Seiten starken Gesetzentwurf hat die Kommission mehrere ausführliche Folgeabschätzungen veröffentlicht.

Nutzungsrechte ohne Ablaufdatum

Einer der größte Änderungsvorschläge: Die Kommission will die zeitliche Befristung der Nutzungsrechte für Mobilfunkfrequenzen abschaffen. Künftig soll die Laufzeit unbegrenzt sein, regelmäßige Versteigerungen von Frequenzblöcken sollen demnach der Vergangenheit angehören. Allerdings soll die Zuweisung künftig nach dem Motto „use it or share it“ ablaufen. Netzbetreiber, die ihnen zugeteilte Frequenzen nicht nutzen, können sie also wieder verlieren. Neben Mobilfunkbetreibern sind etwa auch Satellitenanbieter erfasst.

Diese Vorschläge der Kommission dürften auf Widerstand mancher EU-Länder stoßen, die sich etwa die Einnahmen aus den Frequenzauktionen nicht entgehen lassen wollen. Auch Teile der Branche sind nicht begeistert. Als „sehr problematisch“ bezeichnet etwa der deutsche Betreiberverband Breko diesen Ansatz. Solche Regeln „würden das Oligopol der Mobilfunknetzbetreiber zementieren“ und den Wettbewerb beschädigen, warnt der Verband.

Umstieg auf Glasfaser

Für hitzige Debatten wird wohl auch der Plan sorgen, ab Ende des Jahrzehnts mit der Abschaltung veralteter Infrastruktur wie Kupferleitungen zu beginnen. Bis zum Jahr 2036 soll schließlich EU-weit der Umstieg auf moderne Glasfaser-, aber auch auf Gigabit-fähige Kabelanschlüsse vollzogen sein. Dazu hat die Bundesnetzagentur letzte Woche ein Regulierungskonzept vorgelegt, zugleich aber betont, dass es sich in erster Linie um einen „Debattenbeitrag“ handelt.

Betreiberverbände wie VATM oder ANGA begrüßen das „klare Ablaufdatum“, das allen Beteiligten „ausreichend Planungsperspektive“ geben würde, so VATM-Präsidentin Valentina Daiber. Dabei dürfe es jedoch nicht zu Marktverwerfungen kommen, wenn marktmächtige Unternehmen ihre Dominanz auf die neue Infrastruktur übertragen und dabei gar ausbauen würden. „Entscheidend ist dabei, dass der Übergang diskriminierungsfrei ausgestaltet wird. Die Regeln dürfen Wettbewerbsunternehmen im Prozess nicht schlechter stellen als etablierte Marktakteure“, schreibt ANGA in einer ersten Einschätzung.

Marktmacht bleibt relevant

Aufatmen können kleinere Netzbetreiber in einem zentralen Punkt: Marktmächtige Unternehmen, hierzulande die Telekom Deutschland, müssen sich auch künftig strengerer Vorab-Regulierung unterwerfen, wenn ein Marktversagen zu erkennen ist. Zugleich soll es aber nationalen Regulierungsbehörden wie der Bundesnetzagentur möglich sein, mehr auf sogenannte symmetrische Regulierung zu setzen. Dabei werden Marktakteure gleich behandelt und müssten gegebenenfalls ihrer Konkurrenz den Zugang zu ihren Netzen zu regulierten Bedingungen gestatten.

Vom ambitionierten Plan, einen vollharmonisierten Markt für Telekommunikation zu schaffen, ist die EU-Kommission abgerückt. Dazu seien die Ausgangsbedingungen in den 27 EU-Mitgliedsländern einfach zu unterschiedlich, sagte eine Kommissionssprecherin im Zusammenhang mit der Kupfer-Glas-Migration. Übrig geblieben ist jedoch der Vorschlag einer zentralen Autorisierung für Netzbetreiber. Diese könnten sich künftig in einem EU-Land registrieren, um ihre Dienstleistungen anschließend EU-weit anbieten zu können.

Netzneutralität und Netzzusammenschaltung

Die Regeln zur Netzneutralität hat die Kommission praktisch wortgleich aus der bislang geltenden Verordnung übernommen. Datenverkehr darf demnach in Zukunft weiterhin nicht unterschiedlich behandelt oder diskriminiert werden, auch die Endgerätefreiheit soll unberührt bleiben.

Allerdings behält sich die EU-Kommission das Recht vor, in einem eigenen Durchführungsgesetz („Implementing Act“) detaillierte Leitlinien zu sogenannten Spezialdiensten zu erlassen. Das sind besondere Zugangsprodukte, die über das normale Internet nicht funktionieren würden, beispielsweise das Gaming-Paket der Telekom Deutschland. Damit will die Kommission potenzielle Rechtsunsicherheiten beseitigen, über die manche Netzbetreiber klagen.

Mittelbar mit der Netzneutralität haben Konflikte rund um sogenanntes Peering zu tun. Ursprünglich hatten Ex-Monopolisten die Debatte unter dem Schlagwort „Fair Share“ losgetreten, um von großen Inhalte-Lieferanten wie YouTube oder Netflix eine Datenmaut erheben zu können. Das Konzept war jedoch auf großen Widerstand gestoßen, den offenkundig auch die Kommission nachvollziehen konnte. Der Markt für die Zusammenschaltung von Netzen funktioniere gut, sagte Digitalkommissarin Henna Virkkunen bei der Vorstellung des DNA.

Von der Debatte übrig geblieben ist jedoch eine freiwillige Schlichtungsstelle, die etwaige Konflikte rasch auflösen soll. Virkkunen verwies auf Rechtsstreitigkeiten vor nationalen Gerichten, die sich über viele Jahre hinziehen könnten. „Wir sind überzeugt, dass der von uns im DNA vorgeschlagene freiwillige Schlichtungsmechanismus den Parteien helfen wird, Streitigkeiten leichter beizulegen und eine effiziente, wirtschaftlich nachhaltige und zuverlässige durchgängige Datenübermittlung zu gewährleisten“, sagte die EU-Kommissarin.

Der Vorschlag geht jedoch manchen zu weit, etwa der Interessenvertretung CCIA (Computer & Communications Industry Association), die im Namen von Amazon, Google, Meta und anderen Tech-Konzernen spricht. Anstatt auf bewährte Marktmechanismen zu setzen, würde hier eine Regulierung nur um der Regulierung willen eingeführt, so der Verband. In der Praxis könnte sich der freiwillige Ansatz womöglich „in ein verbindliches System zur Beilegung von IP-Streitigkeiten verwandeln und damit die weithin abgelehnten Netzwerkgebühren wieder einführen“, warnt der Verband vor einer Datenmaut durch die Hintertür.

Der Vorschlag der Kommission geht nun an das EU-Parlament und an den EU-Rat, in dem sich die EU-Länder beraten. Beide Institutionen müssen zunächst eine eigene Position zu dem Vorhaben finden. Anschließend laufen die gemeinsamen Verhandlungen im sogenannten Trilog-Verfahren. Insgesamt dürfte sich das Verfahren über mehrere Jahre hinziehen.

Aktuell läuft eine Phishing-Welle, die es auf Nutzerinnen und Nutzer des Passwort-Managers LastPass abgesehen hat. Dem Anbieter zufolge begann der Betrugsmailsversand etwa am Montag dieser Woche.

Davor warnt LastPass in einem aktuellen Blog-Beitrag. Die betrügerischen E-Mails stammen demnach von unterschiedlichen Absendern mit variierenden Betreffzeilen. Sie behaupten, dass LastPass eine Wartung vornehmen wolle, und drängen User, ein Backup ihrer Passwort-Vaults innerhalb der kommenden 24 Stunden vorzunehmen.

LastPass weist eindringlich darauf hin, dass das Unternehmen Kunden nicht darum bittet, Backups der Vaults in den nächsten 24 Stunden anzulegen. Es handele sich viel mehr um den Versuch bösartiger Akteure, eine Dringlichkeit beim Empfänger zu erzeugen, „eine übliche Vorgehensweise für Social Engineering und Phishing-E-Mails“, schreibt LastPass weiter. Der Zeitpunkt sei ebenfalls nach üblicher Taktik gewählt und falle auf ein Urlaubswochenende in den USA. Durch weniger arbeitende Menschen soll die Entdeckung der Phishing-Welle länger dauern.

Vermeintliche Backups der Passwort-Vaults

Der Call-to-Action-Button der Mail suggeriert, dass er Opfer auf eine Webseite bringt, auf der sie ein Backup ihres Passwort-Vaults anlegen können. Tatsächlich landen diejenigen, die ihn anklicken, jedoch auf der URL „group-content-gen2.s3.eu-west-3.amazonaws[.]com/5yaVgx51ZzGf“, die ihrerseits eine Weiterleitung auf die URL „mail-lastpass[.]com“ vornimmt.

„Niemand bei LastPass wird jemals nach deinem Master-Kennwort fragen“, erklärt LastPass weiter. Das Unternehmen arbeitet mit Partnern daran, diese Domains so rasch wie möglich Hops zu nehmen. LastPass-Kunden sollten aufmerksam bleiben und im Zweifel der Echtheit einer LastPass-Mail dieser besser an die E-Mail-Adresse abuse@lastpass.com senden und dort verifizieren lassen.

Einige Hinweise für Phishing hat LastPass ebenfalls zusammengetragen. Darunter fallen folgende E-Mail-Adresse, URLs und IPs:

• „group-content-gen2.s3.eu-west-3.amazonaws[.]com/5yaVgx51ZzGf“, IP-Adresse 52.95.155[.]90
• mail-lastpass[.]com,. IP-Adressen 104.21.86[.]78, 172.67.216[.]232 sowie 188.114.97[.]3
• support@sr22vegas[.]com, support@lastpass[.]server8, support@lastpass[.]server7, support@lastpass[.]server3
• IP-Adressen dazu 192.168.16[.]19 und 172.23.182.202

Die Mails tragen Betreffzeilen wie

• „LastPass Infrastructure Update: Secure Your Vault Now“
• „Your Data, Your Protection: Create a Backup Before Maintenance“
• „Don’t Miss Out: Backup Your Vault Before Maintenance“
• „Important: LastPass Maintenance & Your Vault Security“
• „Protect Your Passwords: Backup Your Vault (24-Hour Window)“

LastPass weckt des Öfteren Interesse von Cyberkriminellen. Etwa im September 2023 gab es Anzeichen dafür, dass Angreifer LastPass-Passworttresore kopiert und diese zu knacken versucht haben. Anfang 2024 hat LastPass dann an verbesserter Sicherheit gearbeitet, etwa mit einer Minimallänge von zwölf Zeichen für ein Masterkennwort und dessen Abgleich mit in Leaks bekanntgewordenen Passwörtern.

(dmk)

Eigentlich soll Dell IT-Sicherheitslösung Data Protection Advisor Computer schützen, doch mit bestimmten Versionen ist genau das Gegenteil der Fall und Angreifer können an zahllosen Sicherheitslücken ansetzen.

Viele Gefahren

Wie aus einer Warnmeldung hervorgeht, stuft der Computerhersteller die Auswirkungen von erfolgreichen Attacken insgesamt als „kritisch“ ein. Alle Schwachstellen betreffen Komponenten von Drittanbietern wie Apache Ant, libcurl und SQLite. Die Lücken sind zum Teil sechzehn Jahre alt. Warum die Entwickler die Schwachstellen erst jetzt schließen, ist bislang unklar. In der Warnmeldung sind 378 CVE-Einträge aufgelistet.

Darunter sind unter anderem Schadcodelücken in libcurl (CVE-2016-7167 „kritisch“) und Xstream (CVE-2021-39145 „hoch“). Aufgrund des Alters einiger Lücken liegt es nahe, dass einige der nun im Kontext von Data Protection Advisor geschlossenen Schwachstellen ausgenutzt werden. Dazu gibt es aber keinen Hinweis in Dells Warnmeldung.

Die Entwickler geben an, dass davon ausschließlich die Data-Protection-Advisor-Versionen 19.10 bis einschließlich 19.12 SP1 betroffen sind. Die Ausgabe 19.12 SP2 ist mit Sicherheitsupdates ausgerüstet.

Erst kürzlich hat Dell Sicherheitslücken in den Cloudspeicherlösungen ECS und ObjectScale geschlossen.

(des)